Si l’édition 2023 du FIC - devenu le Forum InCyber - avait été marquée par l’absence de plusieurs ministères, le millésime 2024 se veut plus apaisé. Pour autant pas de ministres à la plénière, mais Vincent Strubel, directeur général de l’Anssi qui a prononcé son traditionnel discours inaugural. Pour lui, 2024 va être une année riche en évènements posant de nombreux défis en matière de cybersécurité.
Confiant mais pas insouciant sur les JO
Il est bien évidemment revenu sur les Jeux Olympiques et Paralympiques de Paris, « Pendant cette période, tous les projecteurs vont être focalisés sur la France, mais aussi les attaquants (étatiques, cybercriminels et hacktivistes) » rappelle Vincent Strubel. Il se déclare plutôt confiant « mais pas insouciant ». De nombreux tests, exercice de crise ont été menés pour se préparer. Pour lui, le pire scénario, « c’est la cinématique d’évènements, c’est-à-dire être submergé par des petites attaques très visibles et de ne pas voir une autre plus importante ».
Pour cela, l’Anssi sera « le point de consolidation des remontées d’information » afin « d’éviter la panique ». Vincent Strubel sait qu’il y a « un travail de pédagogie » à mener pour « effacer le caractère anxiogène de certaines attaques comme le DDoS, visible, mais sans gravité ». Une chose est sûre la menace est au plus haut à l’approche de l’évènement comme le montre les récentes affaires des ENT, de France Travail ou plus récemment de la cyberattaque contre la Fédération Française de Football (FFF). Un avis partagé par des RSSI rencontrés dans les allées du salon, « les curseurs de sécurité sont au maximum et les voyants sont au rouge », nous indiquait l’un d’eux.
Laisser du temps sur NIS 2
L’autre chantier de l’Anssi pour 2024 est la transposition de la directive NIS 2. L’organisme a mené de nombreuses discussions avec les sociétés et les entités potentiellement concernées. Il va bientôt rendre sa proposition tout en rappelant que « la date d’octobre 2024 n’est pas celle où il faut être conforme, il s’agit de la transposition en droit français de la directive ». Vincent Strubel se veut rassurant en donnant 3 ans aux entités importantes pour s’y conformer. « Entre temps, il y aura des tests et des contrôles à blanc. Un portail sera mis en place pour accompagner les entités concernées », déclare-t-il.
Sur la question des sanctions, le dirigeant semble un peu embarrassé, « l’Anssi est une agence qui aide », martèle-t-il. Pour autant, la directive lui donne ce pouvoir de sanction et il entend bien l’exercer « sans trembler », mais « à travers une structure indépendante où les règles du contradictoire sont respectées » avec un contrôle du Conseil d’Etat.
Inquiétude sur l’IA prédictive
« Il n’y a pas de cyber-Armageddon sur l’IA, tout comme cette technologie ne résoudra pas tous les problèmes de sécurité », assure Vincent Strubel. Pour autant, les attaquants s’en emparent et les défenseurs doivent bénéficier du même niveau d’apprentissage. Pour le responsable, l’IA pose aujourd’hui beaucoup de questions. « Comment nous certifions une IA ? Comment nous détectons les attaques par l’IA et contre elle ? ».
L’Anssi devrait prochainement publier des recommandations sur ce sujet, tout en appelant à renforcer la recherche académique et à développer les cas d’usage. Si l’IA générative ne semble pas l’inquiéter, il se révèle plus circonspect sur « l’IA prédictive qui soulève plus d’interrogations » sans donner toutefois plus de détails. Enfin, il est revenu sur le « facteur limitant universel » aujourd'hui, le manque de compétences en cybersécurité et a appelé à un effort collectif de formation, mais aussi de changement de la perception des métiers dans ce domaine. Un sujet étudié récemment dans une étude de l'Anssi.
Commentaire